內(nèi)部控制的動力源于風險防范并構(gòu)成風險管理的必要環(huán)節(jié),但內(nèi)部控制只能防范風險,不能轉(zhuǎn)嫁、承擔、化解或分散風險。
內(nèi)部控制的動力源自風險防范
何為內(nèi)部控制?中國注冊會計師獨立審計準則第九號《內(nèi)部控制與審計風險》認為:內(nèi)部控制是指在一個單位內(nèi)部,為了保證業(yè)務(wù)活動的有效進行,保護資產(chǎn)的安全和完整,防止、發(fā)現(xiàn)、糾正錯誤與舞弊,保證會計資料的真實、完整而制定和實施的政策與程序。中國證監(jiān)會發(fā)布的《證券公司內(nèi)部控制指引》指出:公司內(nèi)部控制包括內(nèi)部控制機制和內(nèi)部控制制度兩個方面。內(nèi)部控制機制是指公司的內(nèi)部組織結(jié)構(gòu)及其相互之間的運行制約關(guān)系;內(nèi)部控制制度是指公司為防范金融風險,保護資產(chǎn)的安全與完整,促進各項經(jīng)營活動的有效實施而制定的各種業(yè)務(wù)操作程序、管理方法與控制措施的總稱。國際組織(COSO)則將內(nèi)部控制定義為一個組織設(shè)計并實施的一個程序,以便為達到該組織的經(jīng)營目標提供合理保障。
從上述各種定義中我們不難看出,雖然對內(nèi)部控制理解的角度各有側(cè)重,但共同的認識在于內(nèi)部控制是一個組織所設(shè)計并實施的程序(包括必要的制度和措施),旨在為實現(xiàn)該組織的某種目標而提供合理保障。內(nèi)部控制將從三個方面提供合理保障,并有助于組織某種目標的實現(xiàn):經(jīng)營過程有效率/效益地進行,并預(yù)防資源的損失;對外提供可靠的財務(wù)報告;相關(guān)法律法規(guī)得以遵循。良好的內(nèi)部控制可以合理保證合規(guī)經(jīng)營、財務(wù)報表的真實可靠和經(jīng)營結(jié)果的效率與效益。而合規(guī)經(jīng)營、真實的財務(wù)報告和有效益/效率的經(jīng)營也正是企業(yè)風險管理所應(yīng)該達到的基本狀態(tài)。從這個角度出發(fā),內(nèi)部控制是風險管理的必要環(huán)節(jié),內(nèi)部控制的動力來自企業(yè)對風險的認識和管理。
對一個持續(xù)經(jīng)營的企業(yè)而言,常見的企業(yè)風險包括:戰(zhàn)略風險,即不恰當?shù)男袆泳V領(lǐng)和發(fā)展規(guī)劃導(dǎo)致的風險;經(jīng)營風險,即不適宜的經(jīng)營手段導(dǎo)致的風險;財務(wù)風險,即失去融資能力或遭致無法承受的債務(wù)而導(dǎo)致的風險;信息風險,即不相關(guān)、不真實信息報告導(dǎo)致的風險;環(huán)境與法律風險,即環(huán)境驟變和政策不明朗導(dǎo)致的風險;災(zāi)害風險,即由于戰(zhàn)爭、自然災(zāi)害等人為不可抗拒的因素造成的風險。
正是因為風險的存在,風險管理才成為必要。企業(yè)管理的重要內(nèi)容之一就是建立風險評估系統(tǒng),認識和分析企業(yè)整體目標及各活動層目標,以及影響這些目標實現(xiàn)的內(nèi)在和外在因素、發(fā)生的概率及可能的后果,并采取相應(yīng)的控制措施。因此,風險防范既是企業(yè)管理的必要部分,也是內(nèi)部控制機制建立的內(nèi)在動力。換句話說,內(nèi)部控制的建立是與風險管理的要求相并存的。正是因為存在各種各樣的風險,企業(yè)才應(yīng)該建立良好的內(nèi)部控制系統(tǒng),配合風險管理,實現(xiàn)企業(yè)目標。
內(nèi)部控制不等于風險管理
雖然內(nèi)部控制的動力源于風險防范并構(gòu)成風險管理的必要環(huán)節(jié),但內(nèi)部控制不等于風險管理本身。許多企業(yè)的管理者將內(nèi)部控制與企業(yè)管理和風險管理等同起來,常常產(chǎn)生這樣一些誤解:內(nèi)部控制可保證企業(yè)成功并使其財務(wù)報告絕對可靠合法;內(nèi)部控制可以防止企業(yè)決策的失誤;內(nèi)部控制可以阻止兩個或兩個以上的人相互勾結(jié)來踐踏控制系統(tǒng);建立了內(nèi)部控制就等于實施了科學(xué)管理,等等。
內(nèi)部控制只能防范風險,不能轉(zhuǎn)嫁、承擔、化解或分散風險。風險管理是由風險識別、風險評估、風險對策、風險監(jiān)測等一系列環(huán)節(jié)組成的一個循環(huán)流程,就這一循環(huán)流程而言,內(nèi)部控制僅與風險識別和評估密切相聯(lián)。對企業(yè)面臨風險的識別和評估,既是企業(yè)選用何種風險對策,實施何種管理措施的前提,亦是建立企業(yè)內(nèi)部控制的基礎(chǔ)。在風險識別和評估基礎(chǔ)上所建立的內(nèi)部控制,只能規(guī)避經(jīng)營管理活動中經(jīng)常發(fā)生的錯誤和風險,但不能解決風險管理中企業(yè)所面臨的所有風險,更不能轉(zhuǎn)嫁、承擔、化解、分散風險。例如,對于重要信息的異地備份,既是內(nèi)部控制中信息安全性的要求,也是風險管理中規(guī)避風險的必要措施。國際著名投資銀行摩根士坦利,正是嚴格遵循了這一基本要求,其雖置身于世貿(mào)大廈88層之高,但在“9·11”事件中,其所有客戶的重要資料并未隨世貿(mào)大廈的轟然倒塌而被埋葬。但是,上述內(nèi)部控制措施只能防范可能的風險,并不代表風險發(fā)生后的措施。風險發(fā)生后的自救也是風險管理的重要內(nèi)容。
即使建立了合理而有效的內(nèi)部控制系統(tǒng),科學(xué)而全面的管理仍是必不可少的,不能將它們二者混為一談。對于企業(yè)經(jīng)營活動中發(fā)生概率較大,且企業(yè)能夠承擔控制成本的風險,要力求通過企業(yè)自身的控制系統(tǒng),并依托以財務(wù)管理為中心的企業(yè)管理體系予以控制。對于發(fā)生概率較小,或控制成本較大的風險,則應(yīng)在加強管理、增強自身素質(zhì)的基礎(chǔ)上,降低風險對企業(yè)的影響程度。
